Veel organisaties hebben hun gebruikersbeheer in Active Directory staan en willen dat niet opgeven bij de overstap naar Workspace. Met Google Cloud Directory Sync houd je AD als centrale bron en spiegel je je gebruikers, groepen en organisatie-eenheden naar Workspace. Eén plek om accounts te beheren, automatisch doorgevoerd naar de cloud.
Hoe GCDS werkt
GCDS is een gratis tool die je on-premise installeert op Windows of Linux. Het leest gegevens uit je Active Directory via LDAP en zorgt dat Workspace overeenkomt met wat het in AD vindt. Belangrijk: de synchronisatie is eenrichtingsverkeer. GCDS leest uit AD en schrijft naar Workspace, maar wijzigt nooit je Active Directory. Je bronsysteem blijft onaangetast.
Dat eenrichtingsmodel maakt AD leidend. Maak je een gebruiker in AD aan, dan verschijnt hij bij de volgende sync in Workspace. Schakel je hem in AD uit, dan volgt Workspace. Je beheert dus op één plek.
GCDS wijzigt je AD nooit
Een veelgehoorde zorg is dat de koppeling je Active Directory aantast. Dat gebeurt niet. GCDS leest alleen uit AD en past uitsluitend Workspace aan. Je kunt het dus veilig inzetten zonder risico voor je bestaande directory.
Voorbereiding
Voordat je begint, regel je een paar zaken. Je hebt een server of machine nodig die zowel je Active Directory als Google kan bereiken. Je hebt een leesaccount in AD met voldoende rechten om de benodigde objecten op te halen. En je hebt een Workspace-beheerdersaccount om de koppeling te autoriseren.
Denk ook vooraf na over je mapping: welke AD-organisatie-eenheden komen overeen met welke Workspace-OU's, en welke gebruikers en groepen wil je wel en niet synchroniseren.
De koppeling instellen
Active Directory koppelen stap voor stap
- Installeer GCDS op een server met toegang tot AD en internet.
- Configureer de LDAP-verbinding naar je Active Directory met een leesaccount.
- Autoriseer de koppeling met je Google Workspace via OAuth.
- Stel de mappings in voor gebruikers, groepen en organisatie-eenheden.
- Bepaal de scope met zoekregels en exclusieregels.
- Voer een simulatie uit en controleer de berekende wijzigingen.
- Synchroniseer en plan daarna periodieke runs in.
Scope en mappings bepalen
Het hart van een GCDS-configuratie zijn de zoekregels en de mappings. Met LDAP-zoekregels bepaal je welke objecten uit AD worden opgehaald. Met mappings bepaal je hoe AD-attributen overeenkomen met Workspace-velden, bijvoorbeeld welk AD-attribuut het e-mailadres levert en hoe AD-OU's zich verhouden tot Workspace-OU's.
Controleer je scope vooraf
Besteed extra aandacht aan je exclusieregels en de scope. Een te brede zoekregel haalt accounts op die niet in Workspace horen, een te smalle mist juist mensen. Fouten hierin worden zichtbaar in de simulatie als onverwachte toevoegingen of verwijderingen. Controleer die aantallen altijd voordat je een echte synchronisatie draait.
Eerst simuleren, dan synchroniseren
Net als bij elke GCDS-operatie geldt: simuleer altijd eerst. De simulatie berekent welke gebruikers, groepen en OU's worden toegevoegd, gewijzigd of verwijderd, zonder iets uit te voeren. Klopt het beeld, dan draai je de echte synchronisatie.
Sla de simulatie nooit over
Draai de eerste echte synchronisatie pas als de simulatie exact laat zien wat je verwacht. Een verkeerde mapping of scope kan in één run grote schade aanrichten in Workspace. De simulatie is je enige kans om dat vooraf te zien. Sla die stap nooit over, hoe zeker je ook denkt te zijn van je configuratie.
Periodiek synchroniseren
Eén synchronisatie volstaat niet; AD verandert continu. Plan GCDS om periodiek te draaien, bijvoorbeeld elke paar uur of dagelijks, afhankelijk van hoe snel wijzigingen in Workspace moeten landen. Op Windows gebruik je daarvoor doorgaans de taakplanner, op Linux een cron-job. Houd de resultaten van elke run in de gaten zodat je fouten vroeg opmerkt.
Zet meldingen op mislukte runs
Stel een melding in op mislukte of geblokkeerde GCDS-runs, bijvoorbeeld via een e-mailnotificatie bij fouten. Zo merk je het direct als een synchronisatie faalt door een verlopen autorisatie of een geblokkeerde verwijderlimiet, in plaats van pas wanneer een gebruiker klaagt dat zijn account niet klopt.
Een cloud-alternatief zonder installatie
Sinds enige tijd biedt Google ook Directory Sync aan, een cloud-versie die rechtstreeks vanuit de Admin Console werkt en geen on-premise client of server vereist. Het synchroniseert gebruikers en groepen vanuit een externe directory naar Workspace. In juni 2026 is deze variant nog beperkter dan GCDS en deels in beta, dus voor complexe AD-omgevingen met fijnmazige mappings blijft GCDS doorgaans de robuustere keuze. Wil je zo min mogelijk infrastructuur beheren, dan is het cloud-alternatief het overwegen waard.
Wijzigt GCDS mijn Active Directory?
Nee. GCDS leest alleen uit AD en past uitsluitend Workspace aan. Je Active Directory blijft volledig onaangetast; de synchronisatie is eenrichtingsverkeer.
Is GCDS gratis?
Ja, Google Cloud Directory Sync is een gratis tool die je zelf installeert en beheert. Je betaalt alleen voor je Workspace-licenties, niet voor de sync-tool.
Hoe vaak moet ik synchroniseren?
Dat hangt af van hoe snel wijzigingen moeten doorkomen. Veel organisaties draaien elke paar uur of dagelijks, gepland via de taakplanner of een cron-job van het besturingssysteem.
Kan ik bepaalde accounts uitsluiten van synchronisatie?
Ja. Met zoek- en exclusieregels bepaal je precies welke gebruikers, groepen en OU's wel en niet meegaan. Controleer het effect altijd in de simulatie.
Draait GCDS alleen op Windows?
Nee. GCDS draait zowel op Windows als op Linux, zolang de machine je Active Directory via LDAP en Google via internet kan bereiken.
Wat is het verschil met Directory Sync in de Admin Console?
Directory Sync is een nieuwere cloud-variant die zonder on-premise installatie werkt, maar minder configuratiemogelijkheden biedt. Voor complexe mappings en grote AD-omgevingen blijft GCDS doorgaans de robuustere keuze.